Cyber Shelf

// Comparaison

Practical Social Engineering vs The Hacker Playbook 3 : lequel lire ?

Deux livres de cybersécurité sur Pentesting, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52022
Practical Social Engineering

A Primer for the Ethical Hacker

Joe Gray

Le manuel de travail de Joe Gray pour le côté social engineering du red team et de la threat intel : recon OSINT, pretexting, infrastructure de phishing, et les frontières légales et éthiques qui séparent le travail professionnel de l'activité criminelle.

Intermédiaire
4/52018
The Hacker Playbook 3

Practical Guide to Penetration Testing — Red Team Edition

Peter Kim

Le manuel de terrain red team de Peter Kim : scénarios de compromission présupposée, mouvement latéral, contournement AV/EDR, et le rythme opérationnel d'un vrai engagement plutôt qu'une checklist de CVE.

À lire si

Red teamers, enquêteurs fraude et analystes threat intel qui doivent opérationnaliser le social engineering comme discipline plutôt que comme un coup. Le plus fort sur le pipeline OSINT-vers-pretext — Gray montre comment la recon façonne directement ce que sonnera votre appel.
Red teamers et pentesters junior à mid-level qui sortent des CTF pour les engagements en entreprise et veulent un récit cohérent du déroulement d'une opération. Le plus fort, c'est l'état d'esprit assumed-breach — l'hypothèse qu'on part d'un foothold et qu'il faut en tirer parti.

À éviter si

Lecteurs voulant des récits style Mitnick. Gray écrit en praticien, pas en mémorialiste ; le livre est procédural et prudent, pas spectaculaire. Léger aussi sur le tradecraft adversarial deepfake / clone vocal, où le champ a évolué depuis 2022.
Lecteurs cherchant le tradecraft 2024-actuel. Cobalt Strike, Sliver, la recherche EDR-bypass et les attaques d'identité modernes (AAD, conditional access, abus OAuth) ont tous évolué depuis 2018. Traitez les techniques comme des concepts, pas des commandes.

Points clés

  • La recon est l'engagement : un pretext qui ne survit pas au contact avec la réalité de la cible est un échec de recon, pas un échec de livraison.
  • Documentation, scoping et consentement ne sont pas des frais bureaucratiques ; c'est ce qui sépare le social engineering professionnel du social engineering.
  • OSINT et SE sont le même workflow vu sous deux angles — ce qu'on peut trouver est ce qu'on peut prétendre savoir de manière crédible.
  • L'assumed breach est le bon cadre de départ pour presque tout engagement moderne ; les scénarios périmètre-vers-DA relèvent de plus en plus de la fiction.
  • La valeur du livre est le workflow — recon, foothold, escalade, persistance, exfil — pas les outils précis utilisés pour le démontrer.
  • Couplez chaque chapitre avec une source blog actuelle ; le toolchain tourne plus vite que l'imprimé ne peut suivre.

Comment ils se comparent

Practical Social Engineering et The Hacker Playbook 3 sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Practical Social Engineering et The Hacker Playbook 3 couvrent tous les deux Pentesting : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Practical Social Engineering

Alternatives à Practical Social EngineeringQue lire après Practical Social Engineering

The Hacker Playbook 3

Alternatives à The Hacker Playbook 3Que lire après The Hacker Playbook 3

Thématiques liées

Pentesting